Habe den AVG Antispyware durchlaufen lassen, der hat das gefunden. Wie kann es entfernt werden. Oder muss ich die Festplatte neu formatieren?
Im Fenster von AVG steht noch folgendes:
1 Spur an folgendem Speicherort entdeckt:
C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot – Search & Distroy/Snapshots 2\RegUBP2b-User.reg
Im AVG gibt es jetzt Möglichkeiten: in Qarantäne oder löschen, was nun?
Conni3 Nachtrag zu: „Hijacker.StartPage.anv - wie kann er entfernt werden?“
und das habe ich gerade mit dem Avira-Scan gefunden:
Java/ClassLoader.BO
apollo4 Conni3 „und das habe ich gerade mit dem Avira-Scan gefunden: Java/ClassLoader.BO“
Hallo,
das ist wohl eine Fehlemeldung von AVG und Avira.
Mir ist nicht bekannt das die beiden Meldungen ein Problem sein soll.
Gruß
apollo4
IRON67 Conni3 „Hijacker.StartPage.anv - wie kann er entfernt werden?“
Sieht so aus, als hätte dein AVG da den Rest bzw. eine Spur des besagten Schädlings in einem Logfile o.ä. von SpybotS&D gefunden. Soweit nicht schlimm. Allerdings stellt sich mir die Frage, ob besagtes Programm seinerzeit tatsächlich die Malware RESTLOS beseitigt hat. So etwas klappt so gut wie nie, sofern sie erst einmal erfolgreich aktiviert wurde, sei es nun durch einen unvorsichtigerweise konfigurierten Programm-Automatismus oder durch unvorsichtiges Anklicken.
Der zweite Fund legt nahe, dass du dir ggf. durch Drive-by-Infektion weitere Malware an Bord geholt hast. Welchen Browser in welcher Version nutzt du?
Erstelle mal mit http://sicher-ins-netz.info/analyse/otl.html einen Report, den man sich hier angucken kann. Führe das Tool als Administrator aus. Nichts löschen. Poste hier die OTL.txt und ggf. Extras.txt.
shrek3 Conni3 „Hijacker.StartPage.anv - wie kann er entfernt werden?“
Hallo conni,
zur ersten deiner drei Meldungen kann ich im Moment nichts Definitives sagen.
Lässt AVG sich dazu genauer aus?
C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot – Search & Distroy/Snapshots 2\RegUBP2b-User.reg
Bist du unter Windows unter dem Benutzername "User" angemeldet?
Falls ja - es handelt sich um eine Registry-Sicherung von Spybot&Destroy, welche von AVG fälschlicherweise als "Fund" deklariert wird.
Ein ähnliches Problem gab es schon mit anderen Virenschutzprogrammen:
http://forum.kaspersky.com/lofiversion/index.php/t36529.html
Was deinen Avira-Fund betrifft, so poste uns doch besser dessen Scanreport. Vor allem der Dateipfad ist von Belang.
Gruß
Shrek3
Conni3 shrek3 „Hallo conni, zur ersten deiner drei Meldungen kann ich im Moment nichts...“
Hallo, danke Euch. Shrek, unter C ist bei mir ein Ordner namens "User". Bin bis jetzt nur dazu gekommen, einen Acvira Scan zu machen, und der ist gerade beendet. Der Bericht sieht so aus:
Name: Java/ClassLoader.BO
Entdeckt am: 23/09/2010
Art: Trojan
Nebenart: Java
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig bis mittel
Statische Datei: Ja
Dateigröße: 2.975 Bytes
MD5 Prüfsumme: c9dea4f0a1ad21a6329e0Fc7d081c3cd
IVDF Version: 7.10.12.23 - Donnerstag, 23. September 2010
General Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Kaspersky: Trojan-Downloader.Java.Agent.gt
• F-Secure: Java.Trojan.Exploit.Bytverify.N
• Sophos: Mal/JavaKC-D
• Bitdefender: Java.Trojan.Exploit.Bytverify.N
• Microsoft: Exploit:Java/CVE-2008-5353.QS
• Eset: Java/TrojanDownloader.Agent.NBQ
• GData: Java.Trojan.Exploit.Bytverify.N
• Fortinet: Java/Agent.GB!tr.dldr
• Ikarus: Trojan-Downloader.Java.Agent
IRON67 Conni3 „Hallo, danke Euch. Shrek, unter C ist bei mir ein Ordner namens User . Bin bis...“
Wichtig wäre der FUNDORT. Und was ich sonst noch so fragte...Nachtrag, falls du das Analyse-Tool verwendest: Nur den QuickScan verwenden...
Conni3 IRON67 „Wichtig wäre der FUNDORT. Und was ich sonst noch so fragte...Nachtrag, falls du...“
Wo finde ich den Fundort?
Ich benutzte den IE8.
Gerade lasse ich Malwarebytes durchlaufen, das dauert länger.
IRON67 Conni3 „Wo finde ich den Fundort? Ich benutzte den IE8. Gerade lasse ich Malwarebytes...“
Der sollte dir in deinem Virenscanner angezeigt werden. Schau dir den letzten Report/Bericht an.
Conni3 IRON67 „Fundort“
Das ist alles, was im Report/Bericht von Avira steht:
Name: Java/ClassLoader.BO
Entdeckt am: 23/09/2010
Art: Trojan
Nebenart: Java
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig bis mittel
Statische Datei: Ja
Dateigröße: 2.975 Bytes
MD5 Prüfsumme: c9dea4f0a1ad21a6329e0Fc7d081c3cd
IVDF Version: 7.10.12.23 - Donnerstag, 23. September 2010
General Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Kaspersky: Trojan-Downloader.Java.Agent.gt
• F-Secure: Java.Trojan.Exploit.Bytverify.N
• Sophos: Mal/JavaKC-D
• Bitdefender: Java.Trojan.Exploit.Bytverify.N
• Microsoft: Exploit:Java/CVE-2008-5353.QS
• Eset: Java/TrojanDownloader.Agent.NBQ
• GData: Java.Trojan.Exploit.Bytverify.N
• Fortinet: Java/Agent.GB!tr.dldr
• Ikarus: Trojan-Downloader.Java.Agent
Spybot und Malwarebyte haben gar nichts gefunden. Nur AVG Antispyware findet das:
"Hijacker.StartPage.anv" - Avira, Spybot und Malwarebyte nicht.
Das habe ich nun in die Quarantäne verfrachtet.
Das was im OTL.Txt steht, ist eine unendliche Menge Datenzeugs, das füllt 24 Seiten im Microsoft Word......das erspare ich mir hier einzustellen.
IRON67 Conni3 „Das ist alles, was im Report/Bericht von Avira steht: Name: Java/ClassLoader.BO...“
Dann hast du wohl nicht den QuickScan gemacht. Der produziert ganz sicher weniger Text.
Conni3 IRON67 „Dann hast du wohl nicht den QuickScan gemacht. Der produziert ganz sicher...“
Doch, auch der hat unglaublich viel Text.
shrek3 Conni3 „Das ist alles, was im Report/Bericht von Avira steht: Name: Java/ClassLoader.BO...“
Ein Beispiel für einen Scanbericht von Antivir findest du hier (2. Posting):
http://forum.avira.com/wbb/index.php?page=Thread&threadID=120043
Wobei dort nur der untere Teil des Berichts relevant ist - nämlich dieser hier (die wichtigsten Teile habe ich hier noch mal fett hervorgehoben):
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
...
...
...
C:\Users\xxxxxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\5029cd0e-41c7924d
[0] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.BH
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.GS
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.BO
C:\Windows\System32\drivers\sptd.sys
...
...
Beginne mit der Desinfektion:
C:\Users\xxxxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\5029cd0e-41c7924d
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd0f044.qua' verschoben!
Ende des Suchlaufs: Sonntag, 26. September 2010 09:02
Benötigte Zeit: 1:43:22 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
31754 Verzeichnisse wurden überprüft
468280 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
468274 Dateien ohne Befall
4487 Archive wurden durchsucht
3 Warnungen
3 Hinweise
153533 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Gruß
Shrek3
Conni3 shrek3 „Ein Beispiel für einen Scanbericht von Antivir findest du hier 2. Posting :...“
Ich habe folgendes gemacht: Ich habe gestern abend noch beides gelöscht und dann nochmal mit AVG Antispy und Avira einen gründlichen Scan gemacht. Nun kommen keine Meldungen mehr. Also bei sämtlichen Antispy-Programmen und auch beim Avira nun 0 Funde. Hoffe, das ist jetzt ok?
IRON67 Conni3 „Ich habe folgendes gemacht: Ich habe gestern abend noch beides gelöscht und...“
Ohne Logfiles lässt sich das nicht mal ansatzweise beurteilen. Meine Kristallkugel beschlägt da leider.
Conni3 IRON67 „Ohne Logfiles lässt sich das nicht mal ansatzweise beurteilen. Meine...“
Der OTL-Text hab ich an Dich per Mail geschickt, denn den hier reinstellen ist echt eine Zumutung wegen der riesigen Datenflut.
IRON67 Conni3 „Der OTL-Text hab ich an Dich per Mail geschickt, denn den hier reinstellen ist...“
Erhalten und ausgewertet. Soweit nichts Auffälliges bis auf veraltetes Java und unnötige doppelte Virenscanner.
Conni3 IRON67 „Erhalten und ausgewertet. Soweit nichts Auffälliges bis auf veraltetes Java und...“
Vielen Dank!
